Yeni Google Chrome Sıfır-Gün Güvenlik Açığı

“Clement Lecigne” firmasının Google Tehdit Analiz Grubu güvenlik araştırmacıları, Chrome’da çok ciddi bir açık sayesinde saldırganların cihazlarda istedikleri kodu yürütüp tüm kontrolü ellerine alabilecekleri bir açık buldu.

Açık, “CVE-2019-5786” olarak adlandırıldı ve Microsoft Windows, Apple macOS ve Linux işletim sistemlerindeki Chrome’larda kullanılabildiğini açıkladı.

Chrome güvenlik ekibi açığın teknik detaylarını açıklamadan, problemin tarayıcının FileReader(Dosya okuyucu) bileşeninden kaynaklandığını ve saldırganların dışardan kod yürütebilmesini sağladığını söyledi.

Daha kötüsü, Google bu “Sıfır-gün” açığının aktif olarak saldırganlar tarafından kullanıldığını ve bütün Chrome kullanıcılarını hedeflediklerini söyledi.

“FileReader” API’si, basit ve web uygulamalarının kullanıcıların bilgisayarlarındaki dosyaların içeriğini senkronize olmayan bir şekilde okunmasını sağlayan standart bir API.

“FileReader” bileşeninde bulunan açık, yetkisi olmayan saldırganların Chrome üzerinde yetki sahibi olmasını ve klasik güvenlikleri aşıp sistemde istedikleri kodu yürütebilmelerini sağlıyor.

Açığın saldırganlar tarafından kullanılabilmesi ise oldukça basit. Tek gereken, kullanıcıyı önceden hazırlanmış bir siteye yönlendirmek veya siteyi açtırtmak… Daha fazlasına ise ihtiyaç yok. Yani sitede herhangi bir yere tıklanmasına gerek yok. Sayfa açıldığı anda sisteme sızılmış olunuyor.

Açığı kapatacak yama ise çoktan sunuldu: Chrome 72.0.3626.121 güncellemesi Windows, Mac ve Linux isletim sistemleri için indirilebilir durumda.

Google ek olarak açıklamalarında, kullanıcılarının Chrome versiyonlarını, “chrome://version/” sayfasından kontrol etmelerinin ve Chrome 72.0.3626.121 güncellemesine sahip olup olmadıklarını görmenin faydası olacağını belirtti.

“Sıfır-Gün Açığı: Sıfır gün güvenlik açığı siber saldırısı, yazılımda bir zayıflığın keşfedildiği gün gerçekleşir. Bu noktada, geliştirici tarafından bir düzeltme sunulamadan önce bu zayıflıktan faydalanılır.”

Kaynak: https://thehackernews.com/2019/03/update-google-chrome-hack.html